本实用新型专利技术涉及一种IP地址接入技术,特别是涉及一种IPv6地址回收禁用装置,属于IP网络技术领域。包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备与相应的局域网的接入网关相连接通信,接入网关与DAD报文监测设备相连接通信,各局域网分别与骨干网相连接,骨干网中的IPv6地址回收服务器分别与各局域网的DAD报文监测设备相连接通信。本实用新型专利技术解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,使得网络系统的工作效率大大提高,实现了增量式部署,保持了现有网络协议的兼容性。
【技术实现步骤摘要】
本技术涉及一种IP地址接入技术,特别是涉及一种IPv6地址回收禁用装置,属于IP网络
技术介绍
1、IPv6地址的后64位是接口 ID,接口 ID的容量空间的大小为2~64。这使得在某些场景中,IPv6接口 ID可以永久的绑定使用者的身份。而不同的身份具有不同的权限,于是出于安全方面的考虑,对于废弃的IPv6接口需要进行回收禁用,以防止他人的冒用。由于接口 ID容量的巨大冗余性,对于回收的接口 ID可以直接禁止使用,而不用考虑再次分配,以减少IP地址管理的复杂度。2、现有的IPv6地址接入技术分为自动配置和手动配置两大类。对于自动配置分为两种:无状态自动配置和使用DHCPv6 。I)无状态自动配置过程说明如下:主机的接口第一次接入链路产生一个本地链路试验地址,本地链路试验地址前64位使用本地链路地址的固定前缀FE80::/64,后64位为接口 ID,使用EU1-64算法通过MAC地址自动生成。然后进行重复地址检测(DAD:Duplicate Address Detect1n),来确定本地链路试验地址在本地链路中是否是唯一的。接口加入本地链路全部节点组播地址(FF02::1)和试验地址的本地链路被请求节点组播地址(FF02::1: FFOO:0000/104+接口 ID的后24位,将发送给本地链路中所有具有相同后24位的IPv6地址),接口以全零地址为源地址,向被请求节点组播地址发送邻居请求消息。如果该试验地址已被链路上的一个节点使用,那么接收到邻居请求消息的节点将会向全部节点组播地址发送一个邻居公告消息。接收到邻居公告消息,表示自动配置的试验地址不可用,自动配置地址失败,须改为手动配置。如果没有收到邻居公告消息说明该试验地址可以配置给接口,主机接口已经能在链路内进行通信。最后是获取全球地址的前缀。IPv6的全球单播地址由前缀加上接口 ID组成,前面已由EU1-64算法生成了 64位的接口 ID,并通过重复地址检查确定了接口 ID的唯一性,剩下的前缀由路由器公告消息的前缀信息选项中获得。2) DHCPv6是一个用来配置工作在IPv6网络上的IPv6主机所需的IP地址、IP前缀和/或其他配置的网络协议。接入网络的主机通过与网络中的DHCPv6服务器交互,来获取IPv6地址。3)手动配置就是在主机的接口上通过人工来配置一个固定的IPv6地址。然而无论是通过DHCPv6还是手动配置获取的IPv6地址,都需要进行重复地址检测(DAD),如果DAD不能通过,都需要重新配置IPv6地址,否则主机将无法正常接入网络。3.对于单个IPv6地址的禁用,目前已有的技术有:I)在作为接入网关的路由器或交换机处,使用ACL (访问控制列表,AccessControl List),来拒绝特定的IPv6地址的访问。ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL是提供网络安全访问的基本手段。ACL可以允许主机A访问某个网络,而拒绝主机B访问。2)在服务器端使用防火墙的过滤规则来禁止特定的IPv6地址接入。网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。4.现有技术存在的问题:I)在一个局域网中禁用一个IPv6地址,需要对局域网中的所有网关和服务器逐一进行配置,工作量大,工作复杂度高。2)对于具有多个局域网的网络来说,需要在每一个局域网内对每一个网关和服务器都进行配置,工作量巨大。
技术实现思路
针对上述问题及不足,本技术的目的是提供了一种IPv6地址回收禁用装置,其结构简单合理,解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,有效的提高了网络系统的工作效率。本技术的目的是通过以下技术方案实现的:一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其结构如下:各接入设备与相应的局域网的接入网关相连接通信,接入网关与DAD报文监测设备相连接通信,各局域网分别与骨干网相连接,骨干网中的IPv6地址回收服务器分别与各局域网的DAD报文监测设备相连接通信。所述的接入设备采用IPv6地址,该IPv6地址的后64位是接口 ID。所述的DAD报文监测设备为具有路由功能的服务器。由于采用上述方法和装置,使得本技术与现有技术相比具有下列优点效果:本技术采用了统一的骨干网络服务器,所有局域网的监测设备都向它上报接入的IPv6地址的接口 ID,实现了全网内的统一监控,克服了 DAD只能管理本地地址的问题,同时统一的在骨干网络服务器上设置禁用接口 ID名单,避免了在每个局域网的逐一设置。解决了网络系统中以现有方式禁用特定IPv6地址的工作量大,工作复杂度高的难题,使得网络系统的工作效率大大提高,实现了增量式部署,保持了现有网络协议的兼容性。【附图说明】图1为本技术的结构示意图。图中:接入设备I,接入网关2,局域网3,DAD报文监测设备4,骨干网5,IPv6地址回收服务器6。【具体实施方式】下面结合具体实施例对本技术进行进一步详细说明,但本技术的保护范围不受具体的实施例所限制,以权利要求书为准。另外,以不违背本技术技术方案的前提下,对本技术所作的本领域普通技术人员容易实现的任何改动或改变都将落入本技术的权利要求范围之内。实施例1如图1所示,一种IPv6地址回收禁用装置,其结构如下:各接入设备I与相应的局域网的接入网关2相连接通信,接入网关2与DAD报文监测设备4相连接通信,各局域网3分别与骨干网5相连接,骨干网5中的IPv6地址回收服务器6分别与各局域网的DAD报文监测设备4相连接通信。所述的接入设备I采用IPv6地址,该IPv6地址的后64位是接口 ID。所述的DAD报文监测设备4为具有路由功能的服务器。本技术具体使用时:先在IPv6地址回收服务器内由网络管理员录入了 IPv6禁用接口 ID的名单,DAD报文监测设备4在局域网3中监测到接入设备I发出的DAD报文后,将DAD报文中需要进行重复地址检测的接口 ID发送给骨干网5中的IPv6地址回收服务器6 ;骨干网中的IPv6地址回收服务器6将接收到的接口 ID与预先存储在IPv6地址回收服务器内的IPv6禁用接口 ID名单记录相比对,然后将比对结果返回发送给DAD报文监测设备4 ;当返回的结果是该接口 ID是未被禁用的,DAD报文监测设备4将不进行任何动作;当返回的结果是该接口ID是已被禁用的,DAD报文监测设备4发送一个邻居公告消息给发送DAD报文的接入设备,则表示检测的IPv6接口 ID发生重复,已被使用;当返回的结果是该接口 ID是已被禁用的,为预防接入设备拒绝更改接口 ID,DAD报文监测设备4发送消息给局域网的接入网关2,使接入网关2拒绝转发接入设备I发出的,源地址中仍然使用已被禁用的接口 ID的IPv本文档来自技高网...
【技术保护点】
一种IPv6地址回收禁用装置,包括DAD报文监测设备,IPv6地址回收服务器,其特征在于结构如下:各接入设备(1)与相应的局域网的接入网关(2)相连接通信, 接入网关(2)与DAD报文监测设备(4)相连接通信,各局域网(3)分别与骨干网(5)相连接,骨干网(5)中的IPv6地址回收服务器(6)分别与各局域网的DAD报文监测设备(4)相连接通信。
【技术特征摘要】
【专利技术属性】
技术研发人员:张勇,赵毅,赵宏昊,孟凡博,林忠秋,林函楚,冯志强,袁兆刚,陈晓蕾,刘杨,
申请(专利权)人:国网辽宁省电力有限公司丹东供电公司,国网辽宁省电力有限公司,国家电网公司,
类型:新型
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。